Lo “smartwatch” bucato

Con le recenti festività, tra i regali che ci siamo scambiati hanno preso sempre più piede i dispositivi elettronici indossabili: smartwatch e fitness trackers.

Questi dispositivi presentano significative vulnerabilità, tra cui autenticazione insufficiente, mancanza di cifratura e serie preoccupazioni per la notra privacy.

HP ne ha recentemente effettuato una valutazione di sicurezza .

Nessuno degli smartwatch testati dall’azienda aveva abilitata l’autenticazione a due fattori, mentre circa il 30% era vulnerabile all’harvesting degli account, consentendo agli attaccanti di accedere facilmente ai loro sistemi operativi. Lo studio sulla sicurezza degli smartwatch di HP ha valutato 10 smartwatch disponibili in vendita.

“I produttori stanno lavorando per incorporare le necessarie misure di sicurezza negli smartwatch, e si consiglia agli utenti di tenere in considerazione la sicurezza quando scelgono di utilizzare uno smartwatch”, dicono gli autori dello studio. “Si consiglia agli utenti di non abilitare funzioni sensibili di controllo dell’accesso, come l’accesso a auto o abitazioni, a meno che non venga offerta un’autorizzazione forte. Inoltre, abilitare la funzionalità del codice di accesso, assicurarsi di utilizzare password robuste e istituire l’autenticazione a due fattori contribuiranno a prevenire l’accesso non autorizzato ai dati. Queste misure di sicurezza non sono solo importanti per proteggere i dati personali, ma sono cruciali quando gli smartwatch vengono introdotti sul luogo di lavoro e collegati alle reti aziendali.”

Ecco una lista delle principali vulnerabilità che interessano gli smartwatch, secondo HP:

1. Autenticazione/Authorizzazione Utente Insufficiente: Ogni smartwatch testato era associato a un’interfaccia mobile priva di autenticazione a due fattori e non bloccava gli account dopo 3-5 tentativi falliti di inserire la password. Tre su dieci erano vulnerabili all’harvesting degli account, il che significa che un attaccante poteva accedere al dispositivo e ai dati attraverso una combinazione di politiche di password deboli, mancanza di blocco dell’account e enumerazione degli utenti.
2. Mancanza di cifratura dei dati in transito: La cifratura del trasporto è critica dato che le informazioni personali si spostano verso molteplici posizioni nel cloud. Mentre il 100% dei prodotti testati implementava la cifratura del trasporto usando SSL/TLS, il 40% delle connessioni cloud era vulnerabile all’attacco POODLE, consentiva l’uso di cifrari deboli o ancora utilizzava SSL v2.
3. Interfacce non sicure: Il trenta per cento degli smartwatch testati utilizzava interfacce web basate sul cloud, tutte con problemi di enumerazione degli account. In un test separato, il trenta per cento presentava problemi di enumerazione degli account anche con le loro applicazioni mobili. Questa vulnerabilità consente agli hacker di identificare account utente validi attraverso feedback dai meccanismi di reimpostazione della password.
4. Software/Firmware non sicuro: Il 70% degli smartwatch presentava problemi con gli aggiornamenti del firmware, inclusa la trasmissione di aggiornamenti del firmware senza cifratura e senza cifrare i file di aggiornamento. Tuttavia, molti aggiornamenti sono stati rinvenuti “firmati” per impedire l’installazione di firmware contaminato. Anche se gli aggiornamenti dannosi non possono essere installati, la mancanza di cifratura consente il download e l’analisi dei file.
5. Problemi sulla privacy: Tutti gli smartwatch raccolgono alcune informazioni personali, come nome, indirizzo, data di nascita, peso, genere, frequenza cardiaca e altre informazioni sulla salute. Dato il problema di enumerazione degli account e l’uso di password deboli su alcuni prodotti, l’esposizione di queste informazioni personali è motivo di preoccupazione.

“Gli smartwatch hanno appena iniziato a far parte delle nostre vite, ma offrono un nuovo livello di funzionalità e li utilizzeremo sempre di più per attività sensibili”, ha dichiarato Jyoti Prakash, country director di HP Enterprise Security per l’India e per i paesi SAARC . “Con l’accelerazione di questa attività, il mondo degli smartwatch diventerà molto più attraente per coloro che vogliono attaccarci, ed è fondamentale prendere precauzioni quando si trasmettono dati personali sensibili o si introducono smartwatch sul luogo di lavoro.”

Uno studio precedente ha mostrato che il 70% dei dispositivi dell’Internet delle Cose (IoT) più comunemente utilizzati contiene vulnerabilità, tra cui sicurezza delle password, cifratura e mancanza generale di autorizzazioni granulari per gli utenti.

Avv. Francesco Cucci

Foto di Onur Binay su Unsplash